Konfigurationsunterstützung Routing zweimal Netgate - 1x Standleitung und 1x DSL als Proxy
-
Und wie sind die Geschwindigkeiten und Auslastungen auf den Leitungen.
Über GBit symmetrisch lassen sich einige User Richtung Internet abwickeln, ohne das es gleich eng wird.
Laufen die Backups im Tagesbetrieb?
-
Hi,
ehrlich gesagt hab ich da gar nicht im Kopf gehabt das über die bestehende XG-7100 zu machen…das heißt einfach auf ein ETH Interface sie VDSL Leitung einrichten und fertig?
Letztendlich hab ich die SG-3100 „übrig“ daher dachte ich das wäre sinnvoll. Ja, die Idee war Squid Proxy nur auf dieser Box laufen zu lassen.
Die beiden Netgates stehen nicht im gleichem Gebäude. Daher würden beide auf jeweils einen Switch gehen. Daher dachte ich an ein VLAN.
Also wäre es sinnvoller nur eine Netgate mit zwei Internetanschlüssen zu verwenden?
-
Hi,
die Standleitung hat aktuell 300MBit synchron was ausreichend ist.
Die VDSL Leitung hat 300Mbit/60Mbit.
Preislich macht es aus meiner Sicht mehr Sinn einfach einen Teil über VDSL laufen zu lassen als die Standleitung auf 1GBit anzuheben.
-
Ok, in dem Fall würde ich das alles über eine Box machen, die 71er hat deutlich mehr Power als die 31er, die kannst mal für den Notfall aufheben.
Dann kannst du in der Box mit Policy bases Routing das raus routen über 2 GW Gruppen, die eine für Server mit Glas first und DSL Backup und die andere für Clients umgekehrt.
Wenn Clients bei DSL Ausfall kein Internet mehr brauchen, kannst das auch weglassen, aber so hätten die dann beide einen Plan B.Ob jetzt noch ein Proxy dazwischen kommt oder nicht, ist eine andere Sache.
-
@johndo
pfSense kann sehr gut mehrere WANs handlen. Ich würde mir da keine zweite für Proxy hinstellen, es sei denn aus Performancegründen.Ich weiß aber nicht, ob Policy Routing problemlos auch über Proxy funktioniert. Mit Squid habe ich keine Erfahrung. Ich denke aber, dass man im Transparentmode ganz normal policy-routen kann.
Ja, wenn du eine zweite Box dafür einsetzt und diese anderswo steht und ein bestehende Leitung für die Verbindung verwendet werden soll / könnte, ist VLAN natürlich das Mittel der Wahl, um den Traffic zu separieren. Hier aber auch die verfügbaren Hardware-Bandbeiten berücksichtigen.
Edit: Was mir aber nicht klar ist: die zweite Box steht in einem anderen Gebäude, die DSL Leitung wäre aber auf der 7100 auch greifbar?
-
Hi,
die beiden Gebäude sind mit einer Glasfaserleitung verbunden, und auf beiden Seiten stehen je ein Switchstack.
Am Switchstack1 hängt die XG-7100 mit einer Glasfaserleitung, allerdings vom Router zur Netgate mit RJ45 an ETH1. Also nicht Glasfaser direkt auf ix0/ix1.
Die SG-3100 steht in einem anderen Gebäude und hängt am Switchstack2. An der Netgate ist die VDSL Leitung am WAN Anschluss.
Daher dachte ich es ist eventuell einfacher die beiden Netgates per LAN zu verbinden. Und dann einfach alles was auf das Proxynetz zugreift auf die SG-3100 zu routen um dort ins Internet zu gelangen.
Letztendlich kann ich aber auch den VDSL Anschluss per VLAN7 auf die XG-7100 auf ETH2 Port bringen.
Was wäre den sinnvoller?
Von der Konfiguration würde mir das Thema mit den zwei Boxen gefallen da ich gerne wissen würde wie es geht wenn es nicht sinnvoll ist, auch ok dann mache ich es mit einer Netgate.
-
Ja mag spannend sein das mal zu bauen, aber du hast dann immer 2 Kisten die du warten, konfigurieren, pflegen und auch bei Fehler im Detail untersuchen musst.
Ich würde es mit der 71er machen, das DSL Modem im anderen Gebäude mit Vlan 7 raus werfen und in die 71er über den LWL Uplink zwischen den Stacks rüber schicken.
-
Ok, das klingt auch etwas einfacher :-). Ich kenne auf einer Netgate bisher immer nur ein WAN Interface. Gibt es da irgendwo eine Konfig wo ich ein zweites ETH Interface als WAN definieren kann? Weil das Regelwerk im WAN Interface ist ja speziell dafür gedacht. Oder baut man das einfach nach?
-
@johndo said in Konfigurationsunterstützung Routing zweimal Netgate - 1x Standleitung und 1x DSL als Proxy:
Von der Konfiguration würde mir das Thema mit den zwei Boxen gefallen da ich gerne wissen würde wie es geht wenn es nicht sinnvoll ist, auch ok dann mache ich es mit einer Netgate.
Wie du oben schreibst, ein Netzwerksegment, in dem nur die beiden Boxen sind (Transitnetz). Das kann auch ein /30er oder /31er sein.
Mit VLANs scheinst du ja eh vertraut zu sein.Zum Routen: Nachdem die Leitung zur DSL-Box ausschließlich für Upstream-Traffic verwendet wird, würde ich das natten. Ist einfacher.
D.h. auf der XG 7100 gibst du in der Interface-Konfiguration die Transitnetz-IP der anderen Box als Gateway an. Fertig, vorausgesetzt, das Outbound NAT ist im Automatik- oder Hybrid-Modus.Dann erstellt pfSense eine Regel auf dem Interface und nattet ausgehende Pakete auf ihre Interface IP. Damit finden die Antworten auch wieder hierher zurück, ohne dass du auf der anderen Box Routen anlegen musst.
Dann brauchst du den HTTP/S Traffic nur noch policy-routen.
Edit:
Ob du dann den Proxy auf dieser oder auf der anderen Box laufen lässt, kannst du dir dann noch aussuchen. -
LAN oder WAN ist doch egal.
Neues Int anlegen, die beiden Boxen unten bei WAN mit public IP setzten, bei dir ja als PPPoE anlegen mit Tagg auf dem Switchport oder auf der pfSense als Sub Int.
Outbound NAT brauchst du.
Bei DSL was nur raus soll, brauchst kein Inbound Regelwerk auf WAN.Regelwerk Out legst dann in einer Int Group an, da kannst dann schön mit Aliasen oder Netzobjekten arbeiten, wenn mehr als ein LAN da raus soll.
Denn du brauchst ja das Int als Ziel.
Zudem dann noch den Proxy mit rein bauen.
Inet mag über Proxy gehen, aber das eine oder andere will dann doch wieder direkt mit dem Gegenüber sprechen.Bei 2 WAN auf einer Box bitte mit Primary/Secondary von der Prio arbeiten oder und mit Stickyness arbeiten.
So oder so hast du auf einer Kiste schon mehr Möglichkeiten als beim größten schweizer Messer.
-
Ich versuche beides mal umzusetzen :-). Was mit dann besser gefällt behalte ich bei.
Ich melde mich nochmal sobald ich vor der Kiste sitze :-).